[hors sujet] recherche plateforme pour créer une cagnotte
bonjour, je recherche quelques personnes avisées pour me conseiller afin de sélectionner une plateforme qui collectera des fonds pour créer une cagnotte merci pour votre aimable attention bien à vous bernard
Re: Ouverture de session SSH mais pas de prompt
Wed, 25 Sep 2019 10:07:32 + "Sébastien NOBILI" écrivait : > Je sèche un peu, si quelqu'un a une piste… Peut-être commencer par un ssh -v pour voir où l'établissement de la connxion s'arrête. Voire ssh -vvv. > Sébastien Jean-Marc https://6jf.be/keys/ED863AD1.txt pgpM5nrX_RRW9.pgp Description: PGP signature
Re: Ouverture de session SSH mais pas de prompt
Le 25/09/19 à 11:49, "Sébastien NOBILI" a écrit : > Merci pour les pistes. Je vais devoir attendre avant de tester car ça > fonctionne de nouveau… C'est énervant ces trucs qui retombent en marche sans qu'on leur demande ;-) > Je vais en profiter pour ajouter des lignes dans le .profile et le .shellrc > (j'utilise une > conf. maison zsh/bash qui prennent une conf. commune dans ce fichier). C'est probablement par là que se trouve l'origine du pb, ou suivant l'environnement ça fait si ou ça, et l'un des cas plante ton tty. Bon courage, -- Daniel Une chose n'est pas nécessairement vraie parce qu'un homme meurt pour elle. Oscar Wilde.
Re: Running a music player via cron
oops mauvais aiguillage, désolé Jean-Philippe MENGUAL Le 25/09/2019 à 17:17, Jean-Philippe MENGUAL a écrit : > Hello, > > Since some Sid update (about 2 weeks), something may have happent in te > audio stack or the terminal because what worked no longer works. > > So I am under Sid, MATE desktop, via lightdm, pulseaudio, > systemd, etc. Ont minor thing is that if I run an audio as a user or > root at boot before login invia lightem, audio does not work, but well... > > Anyway, here I want to run mpv via a cron job under my regular user. The > command works, but via cron, I get an audio access problem. > > The command: > killall mpv;/home/jp/radio 10 100 > > The result: > > > TERM environment variable not set. > setleds: Error reading current flags setting. Maybe you are not on the > console?: ioctl KDGKBLED: Ioctl() inapproprié pour un périphérique > TERM environment variable not set. > CTRL+C to exit > Playing: http://direct.franceinfo.fr/live/franceinfo-midfi.mp3 > (+) Audio --aid=1 (mp3 1ch 44100Hz) > ALSA lib pcm_dmix.c:1108:(snd_pcm_dmix_open) unable to open slave > [ao/alsa] Playback open error: Device or resource busy > [ao/oss] Can't open audio device /dev/dsp: Device or resource busy > Cannot connect to server socket err = No such file or directory > Cannot connect to server request channel > jack server is not running or cannot be started > JackShmReadWritePtr::~JackShmReadWritePtr - Init not done for -1, > skipping unlock > JackShmReadWritePtr::~JackShmReadWritePtr - Init not done for -1, > skipping unlock > [ao/jack] cannot open server > ALSA lib pcm_dmix.c:1108:(snd_pcm_dmix_open) unable to open slave > couldn't open play stream: Device or resource busy > [ao/sndio] can't open sndio default > [ao] Failed to initialize audio driver 'sndio' > Could not open/initialize audio device -> no sound. > Audio: no audio > : 00:00:00 / 00:00:00 (0%) Cache: 0s > > > Exiting... (Errors when loading file) > TERM environment variable not set. > > > TERM environment variable not set. > > Same with: > killall mpv;env DISPLAY=:0 /home/jp/radio 10 100 > > Here is the script: > https://paste.debian.net/1102308/ > > Thanks for your help > > > Regards > > > > > > > >
Running a music player via cron
Hello, Since some Sid update (about 2 weeks), something may have happent in te audio stack or the terminal because what worked no longer works. So I am under Sid, MATE desktop, via lightdm, pulseaudio, systemd, etc. Ont minor thing is that if I run an audio as a user or root at boot before login invia lightem, audio does not work, but well... Anyway, here I want to run mpv via a cron job under my regular user. The command works, but via cron, I get an audio access problem. The command: killall mpv;/home/jp/radio 10 100 The result: TERM environment variable not set. setleds: Error reading current flags setting. Maybe you are not on the console?: ioctl KDGKBLED: Ioctl() inapproprié pour un périphérique TERM environment variable not set. CTRL+C to exit Playing: http://direct.franceinfo.fr/live/franceinfo-midfi.mp3 (+) Audio --aid=1 (mp3 1ch 44100Hz) ALSA lib pcm_dmix.c:1108:(snd_pcm_dmix_open) unable to open slave [ao/alsa] Playback open error: Device or resource busy [ao/oss] Can't open audio device /dev/dsp: Device or resource busy Cannot connect to server socket err = No such file or directory Cannot connect to server request channel jack server is not running or cannot be started JackShmReadWritePtr::~JackShmReadWritePtr - Init not done for -1, skipping unlock JackShmReadWritePtr::~JackShmReadWritePtr - Init not done for -1, skipping unlock [ao/jack] cannot open server ALSA lib pcm_dmix.c:1108:(snd_pcm_dmix_open) unable to open slave couldn't open play stream: Device or resource busy [ao/sndio] can't open sndio default [ao] Failed to initialize audio driver 'sndio' Could not open/initialize audio device -> no sound. Audio: no audio : 00:00:00 / 00:00:00 (0%) Cache: 0s Exiting... (Errors when loading file) TERM environment variable not set. TERM environment variable not set. Same with: killall mpv;env DISPLAY=:0 /home/jp/radio 10 100 Here is the script: https://paste.debian.net/1102308/ Thanks for your help Regards -- Jean-Philippe MENGUAL
Re: Quel est la version LTS de Debian ?
Bonjour,25 septembre 2019 16:42 "G2PC" a écrit: > Buster n'est pas déjà devenu la version officielle LTS ? > > C'est étonnant de ne pas retrouver Buster sur cette page, ou, c'est > effectivement Stretch qui est > en LTS ?La oldstable devient LTS quand elle ne profite plus du support > sécurité standard, soit un an après la publication de stable. Ajourd'hui, c'est donc encore Jessie qui est LTS. Stretch profite du même support sécurité que Buster. Dans un peu moins d'un an, Jessie n'aura plus aucun support sécurité et Buster passera du support sécurité standard vers le support LTS (réduit). Buster entrera en support LTS vers 2022. Des détails là : https://wiki.debian.org/fr/DebianReleases Et là : https://wiki.debian.org/fr/LTS Sébastien
Re: Quel est la version LTS de Debian ?
Bonjour, il ne faut pas confondre 'version LTS' et 'prise en charge par l'équipe LTS', pas plus qu'il ne faut confondre 'Debian stable' et 'Debian LTS'. Ubuntu (par exemple) est dans le premier cas: une version sur 2 d'Ubuntu (la .04) est dite LTS et bénéficie d'un support étendu par rapport à la version .10 De ce que j'ai compris, chez Debian, qui sort une nouvelle version "when it is ready" les choses sont différentes. Quand les équipes Debian en charge de la sécurité (les mêmes équipes qui sont chargées du support pour oldstable, entre autres) ne prennent plus du tout en charge le support d'une version de Debian, c'est une autre équipe indépendante qui en assure (ou non) le support. Actuellement Stretch (oldstable) reçoit encore le support officiel Debian (il me semble que la 9.11 est sortie il y a peu), tandis que Jessie ne bénéficie plus du tout du support Debian, mais de celui de l'équipe LTS. Chez Debian, LTS est une étape de plus dans le cycle de vie des versions (testing -> stable -> oldstable -> LTS), chaque cycle de vie correspondant , pour faire simple, à une prise en charge par une équipe différente. Quand Buster deviendra old-oldstable et ne recevra plus de mises à jour de la part de l'équipe principale Debian, c'est elle qui sera la version LTS. (relisez votre lien, il est bien précisé que c'est Jessie qui est prise en charge par l'équipe LTS, pas Stretch) Le 25/09/2019 à 16:41, G2PC a écrit : > > Je suis entrain de revoir la page de mon wiki concernant > l'installation de Debian. > > J'ai le lien suivant qui m'informe que la version LTS de Debian est > Debian Stretch. > > Buster n'est pas déjà devenu la version officielle LTS ? > > C'est étonnant de ne pas retrouver Buster sur cette page, ou, c'est > effectivement Stretch qui est en LTS ? > > Notes sur la version LTS de Debian : https://wiki.debian.org/fr/LTS >
Quel est la version LTS de Debian ?
Je suis entrain de revoir la page de mon wiki concernant l'installation de Debian. J'ai le lien suivant qui m'informe que la version LTS de Debian est Debian Stretch. Buster n'est pas déjà devenu la version officielle LTS ? C'est étonnant de ne pas retrouver Buster sur cette page, ou, c'est effectivement Stretch qui est en LTS ? Notes sur la version LTS de Debian : https://wiki.debian.org/fr/LTS
Re: backuppc surcharge
serait il possible de vérifier le MTU ? Bonjour, Je suis à 1500. J'ai désactivé un cache disque au niveau du BIOS, paramètre que j'ai modifié récemment. Il y a peut-être un lien... -- Migrec
Re: Envoyer mail avec autre IP que le sien
> Masquer ton IP ne servira donc qu’à empêcher qu’on remonte à toi à partir du > mail. Technique de spammeur. Oui et non ? J'ai testé la mise en place d'un serveur Tor, depuis une machine virtuelle, de façon rudimentaire. J'ai donc bien pu, un cours instant, mettre à disposition un service web sur le réseau Tor, hébergé à mon domicile. J'ai vite compris que si je veux gérer un cms comme Joomla ou Magento, il faut permettre l'inscription par mail, et, de ce fait, le système de gestion des utilisateurs envoie un mail. Idem, pour la récupération de mot de passe. Dans les sources de ce mail, on retrouve l'information de ma connexion ( orange ... ) qui a servit à envoyer le mail. Dans l'absolu, ce n'est donc pas pour spammer que la méthode d'envoi de mail non identifiables peut être intéressante, ma, pour respecter un "réel et total" anonymat. Si j'ai bien compris, c'est pour cela que les services proposés sur Tor ne prennent pas en compte les mails, mais, utilisent d'autres méthodes pour s'identifier auprès d'un site marchant par exemple. Un mail permet d'identifier l'émetteur et le destinataire. Ici, le premier objectif serait de protéger l'émetteur ( le service marchant par exemple ) sur Tor. Mais, il est tout aussi important de protéger le destinataire du mail. Par contre, effectivement, il est certain que des personnes malveillantes pourront utiliser de telles méthodes pour spammer et harceler des utilisateurs. Mais ça, c'est déjà le cas, et, de telles pratiques se sont banalisées. Le harcèlement, sur internet, commence au sommet de l'état, pour finir à la base. Beaucoup savent déjà forger leurs mails et utiliser des serveurs zombies, ou, installés dans d'autres pays, et, ne seront jamais inquiétés. Le harcèlement est devenu banale, tout comme la mise en danger des personnes. Quoi qu'il en soit, la question a du sens, si il s'agit de mettre à disposition un serveur sur Tor pour qu'il soit "réellement" anonyme, non ? Après, si le service est anonyme, ça ne garanti en rien que l'anonymat des utilisateurs, lui, soit respecté.
Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH
Le 25/09/2019 à 14:14, G2PC a écrit : # J'enlève la valeur SYN et l'accès web et terminal fonctionne correctement. -A PREROUTING -p tcp -m multiport --dports 22,80,443 -m tcp --tcp-flags FIN,RST,ACK SYN -j CT --notrack Cette règle n'a aucune chance de s'appliquer puisque la combinaison masque/drapeaux est impossible. Tu testes un drapeau qui n'est pas dans le masque, ça ne peut pas marcher. Hum. Bon, je te crois, je commente donc cette règle, le temps d'avoir plus d'informations sur raw et les règles conseillées. Est ce que le masque avec le SYN (que j'ai retiré) " FIN,SYN,RST,ACK SYN " est plus cohérente que " FIN,RST,ACK SYN " ? Bien sûr. C'est de l'algèbre booléenne de base. La seconde liste de --tcp-flags doit être incluse dans la première liste. "FIN,RST,ACK SYN" signifie "conserver les valeurs des drapeaux FIN, RST et ACK et mettre à 0 les autres (dont SYN), puis renvoyer vrai si dans le résultat SYN=1 (ce qui est impossible) et tous les autres à 0". Comme dit, avec le SYN en deuxième position, les accès sont coupés une fois que je place la règle *filter L'état UNTRACKED doit interférer soit avec le filtrage en entrée, soit avec le filtrage en sortie. Si un paquet SYN a été classé UNTRACKED, alors les paquets suivants de la poignée de main (SYN+ACK sortant et ACK entrant) sont classés par défaut dans l'état INVALID. # Je ne sais pas si il est nécessaire d'autoriser le loopback vers l'extérieur, voir à trouver un exemple. Cette phrase n'a aucun sens puisque le trafic envoyé sur l'interface de loopback ne va pas vers l'extérieur mais revient. Tu parles de mon commentaire concernant la règle OUTPUT qui n'a pas de sens, dès lors ? Je parle de la phrase ci-dessus que j'ai laissée. -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT Typiquement, le paquet de réponse SYN/ACK à un paquet SYN dans l'état UNTRACKED (à cause de -j CT --notrack) serait classé par défaut dans l'état INVALID. Je ne connais pas l'interaction éventuelle avec SYNPROXY. Je ne sais pas comment appréhender ce retour. Le -j CT --notrack est dans la ligne qui a été désactivée dans la table *raw A suivre. Tu pourrais accepter les paquets SYN+ACK sortants ayant un des ports source concernés par le SYNPROXY. # Autoriser les connexions DNS. -A INPUT -p tcp --dport 53 -j ACCEPT La machine fait serveur DNS pour l'extérieur ? Je ne pense pas ? C'est à dire, est ce qu'elle transmet des informations vers un autre service extérieur ? C'est-à-dire qu'elle répond à des requêtes DNS. Hormis les pages web, non, donc, si je t'entend bien, je peux supprimer les règles DNS ? Il vaut mieux ne pas supprimer les règles qui acceptent les requêtes DNS en sortie. Qu'est-ce que la connexion fstp ? Oups ! sFTP Ça utilise SSH, donc rien à voir avec le protocole FTP. -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j LOG_ACCEPT -A OUTPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED -j LOG_ACCEPT Inutiles puisque ces paquets ont déjà été acceptés par la règle générique qui autorise les connexions déjà établies. De toute façon, serait-il vraiment nécessaire de loguer ces paquets ? ça fait beaucoup de paquets à loguer ? Ça loguerait tous les paquets sortants des connexions de commande et de données FTP, soit grosso modo un paquet par commande FTP et un paquet par bloc de 1400 octets de données de fichier téléchargé ou de contenu de répertoire lu. Je ne vois pas l'intérêt, loguer le premier paquet suffit. Le client me dit ceci, on observe que j'arrive bien à me connecter la première fois, puis, sur un second compte il n'arrive pas à récupérer le contenu du dossier. Je me reconnecte au second compte, et, il arrive alors a récupérer le contenu du dossier. Vraiment étrange. Statut : Connexion à 139.99.173.195:21... Statut : Connexion établie, attente du message d'accueil... Statut : Initialisation de TLS... Statut : Vérification du certificat... Statut : Connexion TLS établie. Note : si tu utilises TLS avec FTP, alors le module de suivi de connection nf_conntrack mentionné dans mon message précédent est aveugle et inutile. Statut : Récupération du contenu du dossier... Commande : PWD Réponse : 257 "/" est le répertoire courant Commande : TYPE I Réponse : 200 Type paramétré à I Commande : PASV Réponse : 227 Entering Passive Mode (139,99,173,195,202,139). Commande : LIST Erreur : Connection interrompue après 20 secondes d'inactivité Il faudrait vérifier le port source utilisé par le client pour la connexion de données servant au listage. Attention : si le client est derrière un dispositif NAT (routeur, box), ce dernier peut modifier le port source à la volée. Regarde dans les logs générés par iptables. -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j LOG_ACCEPT Côté serveur, tu ne
Re: Ouverture de session SSH mais pas de prompt
25 septembre 2019 12:43 "Daniel Caillibaud" a écrit: > et avec un seul t ça marche pas ? > > et `ssh -t serveur` tout court n'ouvre pas de session ? [...] > Il faudrait comparer ce que tu as comme environnement depuis ce MacOs et > depuis une autre > machine qui ouvre une session correctement. > > Tu peux tenter `ssh -t serveur export` pour savoir ce qui est construit à la > connexion. Merci pour les pistes. Je vais devoir attendre avant de tester car ça fonctionne de nouveau… Je vais en profiter pour ajouter des lignes dans le .profile et le .shellrc (j'utilise une conf. maison zsh/bash qui prennent une conf. commune dans ce fichier). À suivre donc. Sébastien
Re: Raid 1
Le 25/09/2019 à 09:25, Erwan RIGOLLOT a écrit : Un raid 1 sur 3 disques fait que les 3 disques ont les données et t'autorise donc à perdre jusqu'à 2 disques sans perte de données mais dans ce cas les 3 disques fonctionneront en permanence et s'userons mais tu n'auras pas de temps de reconstruction en cas de perte d'un disque. Si, il y aura de toute façon un temps de reconstruction quand le disque défaillant sera remplacé. PS : bizarre que ce message soit arrivé plusieurs heures après avoir été envoyé.
Re: backuppc surcharge
- Mail original - > De: "Migrec" > À: debian-user-french@lists.debian.org > Envoyé: Mercredi 25 Septembre 2019 13:57:36 > Objet: backuppc surcharge > Bonjour, > J'utilise backuppc depuis quelques années pour sauvegarder 3 clients > Ubuntu. > Depuis mon passage à Buster, j'ai des surcharges énormes du serveur > lors des sauvegardes (perte du réseau, des sondes SNMP, load qui > grimpe à 35). Sur les postes clients, RAS. > Les plus longues sauvegardes (les full backup) mettent 140min et les > quotidiennes environ 25min. > J'ai modifié le paramètre CmdQueueNice que j'ai changé de 10 en 20 > mais sans résultat. > Lorsque j'arrive à me connecter en SSH lors de la sauvegarde, ps > indique un processus avec gzip qui prend beaucoup de temps > Une idée ? > -- > Migrec bonjour, serait il possible de vérifier le MTU ? merci pour votre aimable attention bien à vous bernard
Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH
>> >> Par exemple, pour ProFTPD, il me semble avoir configuré correctement le >> service, mais, le client FileZilla ne semble pas réussir à se connecter >> lors de toutes ses tentatives. >> Actuellement, j'arrive régulièrement à me connecter au client FTP, mais, >> pas à 100%. >> Je précise, ce n'est pas la connexion qui semble bloquer >> occasionnellement, mais, la lecture des dossiers une fois connecté, >> d'après ce que je lis sur FileZilla. > > Donc les connexions de données avec les ports de destination dynamiques. > Est-ce que tu as chargé le module de suivi de connexion FTP > nf_conntrack_ftp ? > Si oui, est-ce que tu as réglé l'option nf_conntrack_helper du module > nf_conntrack à 1 puisque je ne vois pas de règle avec CT --helper pour > affecter explicitement le helper ftp aux connexions de commande FTP ? Alors la, bonne question ! J'ai vu passer ce mot clé " conntrack, quelques fois ses derniers jours, mais, je ne crois pas avoir fait quoi que ce soit à ce niveau. Je vais chercher. Merci. >> *raw >> >> # Anti DDOS. >> # Les paquets TCP avec le flag SYN à destination des ports 22,80 ou >> 443 ne seront pas suivi par le connexion tracker et donc traités plus >> rapidement. >> ## Les pages ne chargent plus avec cette règle de décommentée tout >> comme la connexion SSH devient impossible ! > > En temps normal, ce n'est pas seulement le paquet SYN mais tous les > paquets suivants (entrants et sortants) qu'il faut exclure du suivi de > connexion et accepter. Par contre j'ai vu que tu utilises SYNPROXY qui > interagit avec le suivi de connexion, mais je ne connais pas bien. Comme dit, pour raw, j'ai enlevé ce filtrage sur SYN, car, j'ai un conflit avec *filter à ce moment la, et, je ne peux plus naviguer sur les pages, ni me connecter via SSH avec ma règle Port Knocking. J'ai repris une règle présentée dans un tutoriel, et, je l'ai laissée ainsi, en retirant SYN. Idem, j'ai peu d'informations sur raw et sur ses paquets a supprimer depuis raw. >> # J'enlève la valeur SYN et l'accès web et terminal fonctionne >> correctement. >> -A PREROUTING -p tcp -m multiport --dports 22,80,443 -m tcp >> --tcp-flags FIN,RST,ACK SYN -j CT --notrack > > Cette règle n'a aucune chance de s'appliquer puisque la combinaison > masque/drapeaux est impossible. Tu testes un drapeau qui n'est pas > dans le masque, ça ne peut pas marcher. Hum. Bon, je te crois, je commente donc cette règle, le temps d'avoir plus d'informations sur raw et les règles conseillées. Est ce que le masque avec le SYN (que j'ai retiré) " FIN,SYN,RST,ACK SYN " est plus cohérente que " FIN,RST,ACK SYN " ? Comme dit, avec le SYN en deuxième position, les accès sont coupés une fois que je place la règle *filter, par contre, le site est fonctionnel si je ne met QUE les restrictions dans la table *raw , de ce fait, je pense à un effet de bord entre mes règles raw et filter. >> # On pourrait interdire le ping avec icmp directement en PREROUTING. >> # Pour le moment je vais l'interdire par défaut depuis *filter et >> autoriser le ping aux services OVH. >> # -A PREROUTING -p icmp -j DROP > > Erreur fréquente : ICMP, ce n'est pas seulement le ping mais aussi des > messages d'erreur qu'il vaut mieux ne pas bloquer si on veut que les > communications marchent bien. Ok je prend note, j'ajoute ce commentaire au dessus de la ligne commentée. >> # Pas de filtrage sur l'interface de loopback. >> >> # Le serveur ne doit pas avoir de soucis à communiquer avec lui-même >> au niveau des services internes. >> # Accepter toutes les connexions de la machine locale pour permettre >> aux services de communiquer entre eux. >> -A INPUT -i lo -j ACCEPT >> # Par la suite, la règle par défaut va DROP sur tous les OUTPUT non >> autorisés. >> # Je ne sais pas si il est nécessaire d'autoriser le loopback vers >> l'extérieur, voir à trouver un exemple. > > Cette phrase n'a aucun sens puisque le trafic envoyé sur l'interface > de loopback ne va pas vers l'extérieur mais revient. Tu parles de mon commentaire concernant la règle OUTPUT qui n'a pas de sens, dès lors ? > # L'absence d'autorisation en sortie peut t'elle interférer avec > certains services attendant une communication en sortie de loopback ? >> # -A OUTPUT -o lo -j ACCEPT OK, je décommente donc la règle OUTPUT pour le loopback. Merci. > > Evidemment ça interfère. Tout paquet envoyé sur l'interface de > loopback passe successivement par les chaînes OUTPUT, POSTROUTING, > PREROUTING et INPUT et doit être accepté dans toutes pour arriver à > destination. > >> -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT > > Typiquement, le paquet de réponse SYN/ACK à un paquet SYN dans l'état > UNTRACKED (à cause de -j CT --notrack) serait classé par défaut dans > l'état INVALID. Je ne connais pas l'interaction éventuelle avec SYNPROXY. Je ne sais pas comment appréhender ce retour. Le -j CT --notrack est dans la ligne qui a été désactivée dans la table *raw A suivre. > >> >> # Autoriser les services web. >> >> #
RE: Raid 1
Hello, Si tu choisis de mettre le disque en spare, il ne se mettra en marche que quand un autre tombera en panne. C’est-à-dire qu'il ne s'usera pas en fonctionnement normal mais cela engendrera un temps de reconstruction du raid (les données devront être copiées dessus). Un raid 1 sur 3 disques fait que les 3 disques ont les données et t'autorise donc à perdre jusqu'à 2 disques sans perte de données mais dans ce cas les 3 disques fonctionneront en permanence et s'userons mais tu n'auras pas de temps de reconstruction en cas de perte d'un disque. C'est un choix à faire ... Bonne journée ! Erwan -Message d'origine- De : steve Envoyé : mercredi 25 septembre 2019 09:07 À : duf Objet : Raid 1 Bonjour, J'ai trois disques que je souhaiterais monter en Raid 1. J'ai le choix entre créer une grappe de deux disque plus un spare ou alors créer une grappe de trois disques sans spare. Qu'est-ce qui est le mieux ? Merci Steve
backuppc surcharge
Bonjour, J'utilise backuppc depuis quelques années pour sauvegarder 3 clients Ubuntu. Depuis mon passage à Buster, j'ai des surcharges énormes du serveur lors des sauvegardes (perte du réseau, des sondes SNMP, load qui grimpe à 35). Sur les postes clients, RAS. Les plus longues sauvegardes (les full backup) mettent 140min et les quotidiennes environ 25min. J'ai modifié le paramètre CmdQueueNice que j'ai changé de 10 en 20 mais sans résultat. Lorsque j'arrive à me connecter en SSH lors de la sauvegarde, ps indique un processus avec gzip qui prend beaucoup de temps Une idée ? -- Migrec
Re: Ouverture de session SSH mais pas de prompt
Le 25/09/19 à 10:07, "Sébastien NOBILI" a écrit : > Bonjour, > > J'ai un comportement étrange avec mon serveur SSH. > > Parfois et visiblement uniquement depuis l'ordinateur du boulot (MacOS), je > parviens à > ouvrir une session, mais je n'obtiens pas de prompt. […] > Mais il y a des problèmes de TTY : > > $ ssh serveur sudo systemctl status shorewall > sudo: pas de tty présent et pas de programme askpass spécifié > > Que je peux contourner en passant "-tt" à ssh : > > $ ssh -tt serveur sudo systemctl status shorewall > et avec un seul t ça marche pas ? et `ssh -t serveur` tout court n'ouvre pas de session ? > Les commandes basées sur SSH fonctionnent bien : scp, rsync. > > J'ai tenté de changer de terminal (iTerm2, Xterm, urxvt dans une VM Debian) > et le > comportement reste le même… Il faudrait comparer ce que tu as comme environnement depuis ce MacOs et depuis une autre machine qui ouvre une session correctement. Tu peux tenter `ssh -t serveur export` pour savoir ce qui est construit à la connexion. Ça suffira p'tet pas, il me semble qu'avec du `ssh serveur` ça charge le ~/.profile mais pas avec du `ssh serveur commande` Tu peux aussi essayer d'ajouter un export vers un fichier dans le ~/.bashrc (si ton shell distant est bash) et le ~/.profile, avec par ex au début de ~/.profile echo "[$(date +%T)] Dans ~/.profile on a l'environnement :" >> ~/login.log export >> ~/login.log puis tu tentes un login normal avec `ssh serveur` et ensuite tu regardes ce que ça a donné avec `ssh -t serveur cat ~/login.log` -- Daniel Programmeur : personne qui résout, de manière incompréhensible, un problème que tu ignorais avoir. Pierre Desproges
Re: Raid 1
Le 25/09/2019 à 12:20, Pascal Hambourg a écrit : Le 25/09/2019 à 11:39, steve a écrit : L'argument du spare qui ne travaille pas, et donc ne s'use pas, est un bon argument, par exemple. Oui. Du moins qui s'use moins que s'il travaillait, mais plus que s'il était sur une étagère. Il reste sous tension et soumis à la chaleur de la machine. Un autre argument est le temps de reconstruction. Avec les disques de très grande capacité (qui augmente plus vite que le débit), la reconstruction prend de plus en plus de temps - plusieurs heures - et le risque que le seul disque actif restant, qui a subi la même usure, flanche à son tour avant la fin n'est pas négligeable, d'autant plus qu'il est plus fortement sollicité lors de la reconstruction qu'en temps normal. Et si la performance importe, le RAID 1 peut faire de la répartition de charge en lecture entre tous les disques actifs.
Re: Raid 1
Le 25/09/2019 à 11:39, steve a écrit : Le 25-09-2019, à 10:12:49 +0200, Pascal Hambourg a écrit : Le 25/09/2019 à 09:07, steve a écrit : Bonjour, J'ai trois disques que je souhaiterais monter en Raid 1. J'ai le choix entre créer une grappe de deux disque plus un spare ou alors créer une grappe de trois disques sans spare. Qu'est-ce qui est le mieux ? Le mieux pour quoi ? Pour moi. Je parlais du critère d'optimisation choisi. L'argument du spare qui ne travaille pas, et donc ne s'use pas, est un bon argument, par exemple. Oui. Du moins qui s'use moins que s'il travaillait, mais plus que s'il était sur une étagère. Il reste sous tension et soumis à la chaleur de la machine. Un autre argument est le temps de reconstruction. Avec les disques de très grande capacité (qui augmente plus vite que le débit), la reconstruction prend de plus en plus de temps - plusieurs heures - et le risque que le seul disque actif restant, qui a subi la même usure, flanche à son tour avant la fin n'est pas négligeable, d'autant plus qu'il est plus fortement sollicité lors de la reconstruction qu'en temps normal.
Re: Script Iptables pour serveur web Apache2 MySQL ProFTPD avec Port Knocking pour SSH
Le 24/09/2019 à 23:46, G2PC a écrit : Par exemple, pour ProFTPD, il me semble avoir configuré correctement le service, mais, le client FileZilla ne semble pas réussir à se connecter lors de toutes ses tentatives. Actuellement, j'arrive régulièrement à me connecter au client FTP, mais, pas à 100%. Je précise, ce n'est pas la connexion qui semble bloquer occasionnellement, mais, la lecture des dossiers une fois connecté, d'après ce que je lis sur FileZilla. Donc les connexions de données avec les ports de destination dynamiques. Est-ce que tu as chargé le module de suivi de connexion FTP nf_conntrack_ftp ? Si oui, est-ce que tu as réglé l'option nf_conntrack_helper du module nf_conntrack à 1 puisque je ne vois pas de règle avec CT --helper pour affecter explicitement le helper ftp aux connexions de commande FTP ? *raw # Anti DDOS. # Les paquets TCP avec le flag SYN à destination des ports 22,80 ou 443 ne seront pas suivi par le connexion tracker et donc traités plus rapidement. ## Les pages ne chargent plus avec cette règle de décommentée tout comme la connexion SSH devient impossible ! En temps normal, ce n'est pas seulement le paquet SYN mais tous les paquets suivants (entrants et sortants) qu'il faut exclure du suivi de connexion et accepter. Par contre j'ai vu que tu utilises SYNPROXY qui interagit avec le suivi de connexion, mais je ne connais pas bien. # J'enlève la valeur SYN et l'accès web et terminal fonctionne correctement. -A PREROUTING -p tcp -m multiport --dports 22,80,443 -m tcp --tcp-flags FIN,RST,ACK SYN -j CT --notrack Cette règle n'a aucune chance de s'appliquer puisque la combinaison masque/drapeaux est impossible. Tu testes un drapeau qui n'est pas dans le masque, ça ne peut pas marcher. # On pourrait interdire le ping avec icmp directement en PREROUTING. # Pour le moment je vais l'interdire par défaut depuis *filter et autoriser le ping aux services OVH. # -A PREROUTING -p icmp -j DROP Erreur fréquente : ICMP, ce n'est pas seulement le ping mais aussi des messages d'erreur qu'il vaut mieux ne pas bloquer si on veut que les communications marchent bien. # Pas de filtrage sur l'interface de loopback. # Le serveur ne doit pas avoir de soucis à communiquer avec lui-même au niveau des services internes. # Accepter toutes les connexions de la machine locale pour permettre aux services de communiquer entre eux. -A INPUT -i lo -j ACCEPT # Par la suite, la règle par défaut va DROP sur tous les OUTPUT non autorisés. # Je ne sais pas si il est nécessaire d'autoriser le loopback vers l'extérieur, voir à trouver un exemple. Cette phrase n'a aucun sens puisque le trafic envoyé sur l'interface de loopback ne va pas vers l'extérieur mais revient. # L'absence d'autorisation en sortie peut t'elle interférer avec certains services attendant une communication en sortie de loopback ? # -A OUTPUT -o lo -j ACCEPT Evidemment ça interfère. Tout paquet envoyé sur l'interface de loopback passe successivement par les chaînes OUTPUT, POSTROUTING, PREROUTING et INPUT et doit être accepté dans toutes pour arriver à destination. -A OUTPUT -m conntrack ! --ctstate INVALID -j ACCEPT Typiquement, le paquet de réponse SYN/ACK à un paquet SYN dans l'état UNTRACKED (à cause de -j CT --notrack) serait classé par défaut dans l'état INVALID. Je ne connais pas l'interaction éventuelle avec SYNPROXY. # Autoriser les services web. # Autoriser les connexions DNS. -A INPUT -p tcp --dport 53 -j ACCEPT La machine fait serveur DNS pour l'extérieur ? -A INPUT -p udp --sport 53 -j ACCEPT Cette règle est une faille de sécurité en plus d'être inutile. # Configurer le FTP et le pare-feu pour utiliser la plage de ports passifs entre 49152-65534 proposée par IANA. # Noter que la connexion de semble pas s'établir à chaque fois et qu'il est nécessaire de retenter la connexion. # Noter que la connexion fstp n'est pas configurée actuellement. A faire ! Qu'est-ce que la connexion fstp ? -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j LOG_ACCEPT -A OUTPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED -j LOG_ACCEPT Inutiles puisque ces paquets ont déjà été acceptés par la règle générique qui autorise les connexions déjà établies. De toute façon, serait-il vraiment nécessaire de loguer ces paquets ? -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT -A INPUT -p tcp --sport 49152:65534 --dport 49152:65534 -m state --state ESTABLISHED,RELATED,NEW -j LOG_ACCEPT Côté serveur, tu ne maîtrises pas la plage de ports du client. Restreindre les ports source du client à la même plage que celle du serveur est abusif. # Autoriser les connexions au serveur web Apache2. -A INPUT -p tcp --dport 80 -j ACCEPT -A OUTPUT -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp --dport 443 -j ACCEPT -A OUTPUT -p tcp --dport 443 -j ACCEPT Maintenant que ces paquets sont acceptées, toutes les règles suivantes
Ouverture de session SSH mais pas de prompt
Bonjour, J'ai un comportement étrange avec mon serveur SSH. Parfois et visiblement uniquement depuis l'ordinateur du boulot (MacOS), je parviens à ouvrir une session, mais je n'obtiens pas de prompt. Voilà ce qui s'affiche : $ ssh serveur Linux serveur 4.19.0-6-amd64 #1 SMP Debian 4.19.67-2 (2019-08-28) x86_64 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. No mail. Last login: Wed Sep 25 11:48:13 2019 from Je peux lancer une commande sur le serveur si je la spécifie en argument : $ ssh serveur ls Mais il y a des problèmes de TTY : $ ssh serveur sudo systemctl status shorewall sudo: pas de tty présent et pas de programme askpass spécifié Que je peux contourner en passant "-tt" à ssh : $ ssh -tt serveur sudo systemctl status shorewall Les commandes basées sur SSH fonctionnent bien : scp, rsync. J'ai tenté de changer de terminal (iTerm2, Xterm, urxvt dans une VM Debian) et le comportement reste le même… Je sèche un peu, si quelqu'un a une piste… Sébastien
Re: Raid 1
Le 25-09-2019, à 11:21:42 +0200, Jean-Michel OLTRA a écrit : Le mercredi 25 septembre 2019, steve a écrit... J'ai le choix entre créer une grappe de deux disque plus un spare ou Je fonctionne comme ça depuis des années. Si un disque présente des faiblesses, ou une partie de disque, le spare prend le relais. Ce qui laisse le temps de racheter un autre disque pour reconstituer l'ensemble. Moi aussi. Cependant, j'ai eu un soucis il y a quelques temps avec mon système et je pensais que la source était un des disques de la grappe. Je l'ai donc sorti de la grappe mais le soucis persistait. J'ai finalement trouvé le problème, qui n'était pas du tout lié au disque en question. Par paresse, j'ai laissé l'été passer, et je viens de remettre ce disque dans la grappe sans me souvenir qu'il était en spare à l'origine. J'ai donc maintenant une grappe avec 3 disques et plus de spare. D'où ma question. Je pense comme toi que la solution 2 disques + spare est une bonne option. Avant de retirer un des disques de la grappe et de le remettre en spare, je voulais avoir le sentiment de la liste.
Re: Raid 1
Bonjour, Le mercredi 25 septembre 2019, steve a écrit... > J'ai le choix entre créer une grappe de deux disque plus un spare ou Je fonctionne comme ça depuis des années. Si un disque présente des faiblesses, ou une partie de disque, le spare prend le relais. Ce qui laisse le temps de racheter un autre disque pour reconstituer l'ensemble. -- jm
Re: Raid 1
Le 25-09-2019, à 10:12:49 +0200, Pascal Hambourg a écrit : Le 25/09/2019 à 09:07, steve a écrit : Bonjour, J'ai trois disques que je souhaiterais monter en Raid 1. J'ai le choix entre créer une grappe de deux disque plus un spare ou alors créer une grappe de trois disques sans spare. Qu'est-ce qui est le mieux ? Le mieux pour quoi ? Pour moi. Le mieux dans l'absolu, ça n'existe pas. On est bien d'accord, ma question était une question ouverte. L'argument du spare qui ne travaille pas, et donc ne s'use pas, est un bon argument, par exemple.
Re: Raid 1
Le 25/09/2019 à 10:14, kaliderus a écrit : Si tu veux de la redondance (donc du Raid 1), Non. On peut aussi avoir de la redondance avec du RAID 4, 5, 6 ou 10. il te faut un disque de parité. Non, pas forcément. Les RAID 1 et 10 n'ont pas de parité. Seul le RAID 4 a un disque de parité dédié. Les RAID 5 et 6 ont une parité répartie sur tous les disques actifs. " une grappe de trois disques sans spare " je ne sais pas trop ce que c'est ; à priori du Raid 0 Tu confirmes que tu ne sais pas de quoi tu parles et tu racontes n'importe quoi.
RE: Raid 1
Heu, je ne suis pas d'accord avec toi. Un disque de spare c'est un disque inactif. On peut faire un raid 1 sur 3 disques et les trois sont actifs et contiennent les données et donc aucun spare. -Message d'origine- De : kaliderus Envoyé : mercredi 25 septembre 2019 10:14 À : duf Objet : Re: Raid 1 Le mer. 25 sept. 2019 à 09:07, steve a écrit : > > Bonjour, > > J'ai trois disques que je souhaiterais monter en Raid 1. > > J'ai le choix entre créer une grappe de deux disque plus un spare ou > alors créer une grappe de trois disques sans spare. Si tu veux de la redondance (donc du Raid 1), il te faut un disque de parité. > > Qu'est-ce qui est le mieux ? Lire les documentations associées afin de comprendre les différentes architectures :-) " une grappe de trois disques sans spare " je ne sais pas trop ce que c'est ; à priori du Raid 0 qui n'as de " redondant " que le nom, et qui dans les faits n'est que de globaliser 3 disques en une seule unité logique, et si tu perd un disque tu perd tout, l'anti-thèse de la notion de dedondance. Bon amusement.
Re: Raid 1
bonjour Le mer. 25 sept. 2019 à 10:14, kaliderus a écrit : > > Le mer. 25 sept. 2019 à 09:07, steve a écrit : > > > > Bonjour, > > > > J'ai trois disques que je souhaiterais monter en Raid 1. > > > > J'ai le choix entre créer une grappe de deux disque plus un spare ou > > alors créer une grappe de trois disques sans spare. > Si tu veux de la redondance (donc du Raid 1), il te faut un disque de parité. > > > > > Qu'est-ce qui est le mieux ? > Lire les documentations associées afin de comprendre les différentes > architectures :-) > " une grappe de trois disques sans spare " je ne sais pas trop ce que > c'est ; à priori du Raid 0 qui n'as de " redondant " que le nom, et Non : ça peut être du raid1 (mirroring) qui met l'accent sur la redondance (3 copies), en sacrifiant la capacité (3 disques pour stocker un volume de données équivalent au plus petit d'entre eux, ou à un seul d'netre eux s'ils sont identiques). > qui dans les faits n'est que de globaliser 3 disques en une seule > unité logique, et si tu perd un disque tu perd tout, l'anti-thèse de Donc non, dans ce cas tu peux aller jusqu'à en perdre deux (en faisant abstraction des risques de corruption, pour lesquels il faut comparer au moins trois disques entre eux). > la notion de dedondance. > > Bon amusement. > Cordialement __ Éric Dégenètais Henix http://www.henix.com http://www.squashtest.org
Re: Raid 1
Le mer. 25 sept. 2019 à 09:07, steve a écrit : > > Bonjour, > > J'ai trois disques que je souhaiterais monter en Raid 1. > > J'ai le choix entre créer une grappe de deux disque plus un spare ou > alors créer une grappe de trois disques sans spare. Si tu veux de la redondance (donc du Raid 1), il te faut un disque de parité. > > Qu'est-ce qui est le mieux ? Lire les documentations associées afin de comprendre les différentes architectures :-) " une grappe de trois disques sans spare " je ne sais pas trop ce que c'est ; à priori du Raid 0 qui n'as de " redondant " que le nom, et qui dans les faits n'est que de globaliser 3 disques en une seule unité logique, et si tu perd un disque tu perd tout, l'anti-thèse de la notion de dedondance. Bon amusement.
Re: Raid 1
Le 25/09/2019 à 09:07, steve a écrit : Bonjour, J'ai trois disques que je souhaiterais monter en Raid 1. J'ai le choix entre créer une grappe de deux disque plus un spare ou alors créer une grappe de trois disques sans spare. Qu'est-ce qui est le mieux ? Le mieux pour quoi ? Le mieux dans l'absolu, ça n'existe pas.
Raid 1
Bonjour, J'ai trois disques que je souhaiterais monter en Raid 1. J'ai le choix entre créer une grappe de deux disque plus un spare ou alors créer une grappe de trois disques sans spare. Qu'est-ce qui est le mieux ? Merci Steve
